Nginx流量拦截算法

最新推荐文章于 2024-04-29 20:15:05 发布
最新推荐文章于 2024-04-29 20:15:05 发布
阅读量411 收藏 1
点赞数
文章标签: 运维 数据库 lua
原文链接:https://segmentfault.com/a/1190000003893430
版权

nginx-lua-static-merger

0x00.About

电商平台营销时候,经常会碰到的大流量问题,除了做流量分流处理,可能还要做用户黑白名单、信誉分析,进而根据用户ip信誉权重做相应的流量拦截、限制流量。

Nginx自身有的请求限制模块ngx_http_limit_req_module、流量限制模块ngx_stream_limit_conn_module基于令牌桶算法,可以方便的控制令牌速率,自定义调节限流,就能很好的限制请求数量,然而,nginx.conf问题还是在于无法热加载。

之前做过的流量限制方案,《Nginx+Lua+Redis访问频率控制》,原理是动态的基于ip,实现简单的漏桶算法,限制访问频率。

这里的话,就简单分析下流量限制算法:漏桶算法、令牌桶算法、滑动窗口等在Nginx+Lua中如何动态绑定uri,动态设定rate实现。

0x01.Leaky Bucket Algorithm

漏桶算法可以很好地限制容量池的大小,从而防止流量暴增。如果针对uri+ip作为监测的key,就可以实现定向的设定指定ip对指定uri容量大小,超出的请求做队列处理(队列处理要引入消息机制)或者丢弃处理。这也是v2ex对流量拦截的算法,针对uri+ip做流量监测。

Leaky Bucket Algorithm

漏桶算法实现上来说,就是建立一个队列,在Redis中以uri:ip作为key,队列上实现FIFO,在请求的前奏实现插入,请求完成后实现删除。

实现方法是在Nginx发送http数据给用户后,通过ngx.eof()关闭TCP协议,做其他操作,可以参见请求返回后继续执行

下面是部分代码:

local _M = { _VERSION = "2015.10.19", OK = 1, BUSY = 2, FORBIDDEN = 3 }

function _M.do_list(red, uri, key, size, rate)
    local ok, err = red:expire(uri .. ":" .. key, size)
    if not ok then
        ngx.log(ngx.WARN, "redis set expire error: ", err)
        return nil
    end
    local ok, err = red:rpush(uri .. ":" .. key, ngx.time())
    if not ok then
        ngx.log(ngx.WARN, "redis rpush error: ", err)
        return nil
    end
    local res, err = red:lrange(uri .. ":" .. key, -(size * rate), -1)
    if not ok then
        ngx.log(ngx.WARN, "redis lrange error: ", err)
        return nil
    end
    if #res < (size * rate) or res[#res] - res[1] < size then
        return _M.OK
    end
    return nil
end

漏桶算法优点很明显,简单、高效,能恰当拦截容量外的暴力流量。

但缺点也明显,无法对流量做频率处理,比如桶size大小设置范围内,进行并发攻击依然能大流量并发效果,桶容量不可以过小,否则容易卡死正常用户。

0x02.Token Bucket Algorithm

令牌桶算法通过发放令牌,根据令牌的rate频率做请求频率限制,容量限制等。

Token Bucket Algorithm

  • 系统根据rate(r/s)频率参数向指定桶中添加token,满则保持,不添加

  • 当用户请求Nginx时候,分析uri是否需要限制流量,限制则执行令牌桶算法

  • 如果桶满了,则请求通过,消耗令牌一枚;如果请求Redis发现key不存在,则通过size装满令牌桶;如果桶内令牌空,则废弃或等待流量。

Nginx + Lua 模型中实现必然不能跑一个程序添加令牌了,这个时候需要在分析令牌时候,通过计算时间间隔一次性添加完令牌桶内令牌。具体算法是:rate * time_distance = token_count令牌数量, if token_count > size 桶容量, token_count = size。

实现的存储结构是用Hash哈希存储 uri:ip -> token_count,字段通过EXPIRE设定过期时间,达到长时间不访问清除桶数据效果。

桶的大小、请求的频率限制用Redis哈希表存储,不存在则默认不做流量拦截。

用户黑白名单通过Order SET设定信誉权重,权重越大,代表危险性越大,进而通过百分比改变接口限定rate频率。

令牌桶算法优势在于能针对uri做定向rate、size等,不仅限制总请求大小,还限制平均频率大小。缺点是,还是容易导致误判等问题,并切用户的信誉无法完全准确。

参考:

1.Token Bucket Algorithm

2.Token Bucket Algorithm

3.电商课题I:集群环境下业务限流

本文出自 夏日小草,转载请注明出处:http://homeway.me/2015/10/21/nginx-lua-traffic-limit-algorithm

-by小草

2015-10-21 21:49:10

weixin_34040079
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
通过nginx代理拦截请求进行全局访问限制
01-10
本文介绍了通过nginx代理拦截请求进行全局访问限制,分享给大家,具体如下: 运行环境: Ubantu 14.0  tomcat7 nginx 1.4.6(更新后1.5.6) 项目中经常会用到权限管理,必然的就会存在权限的设定和验证;对于登陆...
Nginx - 限制并发、限制访问速率、限制流量
wejack的专栏
05-25 2356
https://www.cnblogs.com/hukey/p/10498544.html
Nginx安全防范从配置做起
Listen2You的博客
09-03 508
导读 经常会有针对某个版本的nginx安全漏洞出现,隐藏nginx版本号就成了主要的安全优化手段之一,当然最重要的是及时升级修复漏洞。 隐藏版本号 http{ server_tokensoff; } 经常会有针对某个版本的nginx安全漏洞出现,隐藏nginx版本号就成了主要的安全优化手段之一,当然最重要的是及时升级修复漏洞。 开启HTTPS ser...
Nginx系列之过滤模块以及变量使用
qiaotl的博客
09-26 2422
通过规则说明和实际例子演示的方式,讲解Nginx中过滤模块以及与变量使用相关的模块的使用
nginx限制IP恶意调用短信接口处理方法
weixin_34293246的博客
06-05 242
真实案例: 查看nginx日志,发现别有用心的人恶意调用API接口刷短信: 30966487 115.213.229.38 "-" [05/Jun/2018:14:37:29 +0800] 0.003 xxxxxx.com "POST /xxx/sendCheckCode HTTP/1.1" 401 200 46 xx.xx.xx.xx:0000 0.003 200 "Mozilla/5....
Nginx笔记
王林的博客
09-06 233
Nginx笔记 一、什么是Nginx? 简介 Nginx (engine x) 是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务。 Nginx是由伊戈尔·赛索耶夫为俄罗斯访问量第二的Rambler.ru站点(俄文:Рамблер)开发的,第一个公开版本0.1.0发布于2004年10月4日。2011年6月1日,nginx 1.0.4发布。 特点 其特点是占有内存少,并发能力强,事实上nginx的并发能力在同类型的网页服务器中表现较好,中国大陆使用nginx网站
nginx服务器stream限速配置
小羽的博客
09-03 4968
nginx1.9.9 stream可以通过proxy_download_rate和proxy_upload_rate设置下载和上传限速。 http通过ngx_http_limit_conn_module这个模块提供limit_conn限速,这个网上可以找到很多写法,但是stream较少,这里补充一篇stream限速配置 nginx自带限速模块 nginx自带限速模块 nginx自带限速模...
nginx 实现限流控制(防攻击)
qq_40178286的博客
08-09 862
nginx 实现限流控制(防攻击)
Nginx限流以及限速配置
u010227042的博客
04-22 2152
最近收到需求,需要在openresty上进行二次开发,对四层/七层负载进行限流以及限速。
nginx模块解析
m0_55877125的博客
04-03 882
nginx模块
浅谈nginx的限制模块
阿发平台
07-20 127
很长时间没有写点东西了,今天忙里偷闲来说说nginx的限制模块,请大家指正批评 一、简要介绍 nignx是什么,这里就不多说,我在这里直接说说nginx的限制模块,在它里面,有三种限制模块。 1.http连接数限制模块,对应的nginx模块是 [i]Module ngx_http_limit_conn_module[/i] [i]这个模块是在 [/i]version 0.8...
NGINX流量拷贝方式进行并发测试.conf
04-19
有时需要进行并发测试,需要排除本地机器等环境问题,可以使用web服务器NGINX流量拷贝方式把请求进行翻倍,从而达到并发目的
深入浅析nginx四种调度算法和进阶
09-30
主要介绍了深入浅析nginx四种调度算法和进阶,文中给大家提到了upstream 支持4种负载均衡调度算法,需要的朋友可以参考下
如何利用nginx通过正则拦截指定url请求详解
01-20
我们知道nginx会对请求进行解析,然后回得到关于请求的url等信息,我们只需要对url进行匹配,然后拦截即可。 匹配规则 location / { if ($request_uri ~* ^/\?http(.*)$) { return 404; } } 经过这样的匹配,...
C#实现Nginx平滑加权轮询算法
08-27
主要为大家详细介绍了C#实现Nginx平滑加权轮询算法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Docker consul的容器服务更新与发现
最新发布
YUEAwb的博客
04-29 505
consul是google开源的一个使用go语言开发的服务管理软件。支持多数据中心、分布式高可用的、服务发现和配置共享。采用Raft算法,用来保证服务的高可用。内置了服务注册与发现框架、分布一致性协议实现、健康检查、Key/Value存储、多数据中心方案,不再需要依赖其他工具(比如ZooKeeper等)。服务部署简单,只有一个可运行的二进制的包。每个节点都需要运行agent,他有两种运行模式server 和 client。
【ROMA解决方案和功能架构】
数据也是生产力,保持热爱,奔赴山海!
04-23 781
1、基于ROMA融合集成平台,实现企业应用、数据、API 、OT设备、云服务、合作伙伴应用之间的集成连接。2、ROMA主要包含四个组件:数据集成(Fast Data Integration,简称FDI)、服务集成(API Connect,简称APIC)、消息集成(Message Queue Service,简称MQS)、设备集成(LINK)。
Virtualbox7.0.10--创建虚拟机
醉殇姒若梦遗年 ツ的博客
04-29 302
6.完成后的界面,至此虚拟机新建完成。左侧是我们新建的虚拟电脑,右侧是它的一些配置项,右侧上方,我们可以点击【注册】进行导入一个操作系统的镜像,【启动】可以直接启动虚拟电脑。虚拟电脑名称为Ubuntu20.04,文件夹存放在D盘,虚拟光盘可以暂时不选,系统类型设置为Linux,版本设置为Ubuntu(64-bit),设置好以后单击“4.内存配置好后,就需要配置下硬盘了,主要是硬盘的容量,默认是25G,可以不改,直接。5.最后,再确认一下整体的配置,如果没有问题,可以直接点击“”,进入新建虚拟电脑页面。
常见Linux操作系统SSH配置详解
weixin_42132035的博客
04-25 373
SSH(Secure Shell)是一种网络协议,用于加密方式远程登录和操作计算机系统。Linux用户经常需要通过SSH来安全地管理系统。本文将详细介绍在不同Linux发行版(CentOS、Ubuntu、RedHat、Debian、Fedora)上配置SSH服务的步骤。
nginx 全局拦截
09-09
nginx是一款高性能的开源Web服务器软件,同时也是一款强大的反向代理服务器。在nginx中,全局拦截是指在配置文件中设置全局的拦截规则,用于统一处理特定的请求。 在nginx中,全局拦截可以通过location指令来实现。通过在配置文件中设置location指令,我们可以对指定的URL进行拦截和处理。全局拦截可以用来实现各种功能,如重定向、防盗链、访问限制等。 例如,我们可以使用全局拦截来实现重定向功能。通过设置location指令,我们可以将用户请求的某个URL重定向到指定的页面或者另一个URL。这样,当用户访问被拦截的URL时,nginx会自动将请求重定向到我们指定的页面。 另外,全局拦截还可以用来实现防盗链功能。假设我们只希望我们自己的网站能够访问某个资源,而其他网站不能直接访问该资源。我们可以通过设置location指令,在拦截规则中增加对Referer的检查,从而实现防盗链功能。只有当请求的Referer符合我们预设的规则时,nginx才会返回该资源。 此外,全局拦截还可以用来实现访问限制功能。通过设置location指令,我们可以对特定的URL进行访问限制,如限制IP地址、限制访问频率等。这样,当满足限制条件时,nginx拦截请求并返回相应的错误信息。 总之,nginx的全局拦截功能非常强大,可以通过配置文件中的location指令进行配置,实现各种各样的功能,如重定向、防盗链、访问限制等。通过合理的配置,我们可以更好地保护网站安全,并实现更多的定制化需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值